Remove From My Forums

Fusion de domaines AD

Question
0

Connectez-vous pour voter

bonjour,

une société X a racheté une société Y et ils vont se renommer en Z.

il y a 2 A.D. différents sur les 2 serveurs de X et Y : DOMAINE-X.LOCAL et DOMAINE-Y.LOCAL

la société va etre renommé en Z, et veut donc un domaine appelé DOMAINE-Z.LOCAL

sachant qu'il y a beaucoup de PCs joints aux différents domaines, quelle est la procédure pour :

Fusionner les AD X et Y

une fois fusionné : renommer XY en Z ?

les 2 domaines sont tous 2 sur des serveurs 2008 R2 (niveau fonctionnel 2008 R2) et "demain", je les mettrais sur du W2019 (ou 2022 à voir)

merci pour vos retours d'expérience, je sais que renommer un domaine engendre beaucoup beaucoup de choses et que ça ne fonctionne pas forcément terrible terrible

vendredi 3 septembre 2021 09:43

Réponse

|

Citation

Réponses

1

Connectez-vous pour voter
solution EER3:7075
     Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\
   Key to Set:
      Network access: Named Pipes that can be accessed

   Values to Set:
      COMNAP
      COMNODE
      SQL\QUERY
      SPOOLSS
      NETLOGON
      LSARPC
      samr
      BROWSER
      LLSRPC

merci à https://social.technet.microsoft.com/Forums/fr-FR/99eeefbc-6c3a-40c7-a19c-ce8c190eff0b/domain-migration-err37075-failed-to-change-domain-affiliation-hr8007054a-this-operation-is-only?forum=winserverMigration

et merci a tous et en particulier à Philippe et Loic pour avoir pris le temps de répondre et pour leurs bons conseils
- Marqué comme réponse R--S mardi 28 septembre 2021 14:49
mardi 28 septembre 2021 14:49

Réponse

|

Citation
0

Connectez-vous pour voter
Le plus propre est de faire une migration ADMT vers un nouveau domaine.

http://pbarth.fr/node/106

DOMAINE-Z.LOCAL

Ce n'est plus très recommandé d'utiliser des domaines en .local

http://pbarth.fr/node/5

une fois fusionné : renommer XY en Z ?

Ce n'est pas recommandé de renommer un domaine, l'opération est lourde et peut impacter des services.

Il manque l'esentiel pour vous conseiller , entre autre les ressources, l'état actuel ; chacun son serveur mail ? Exchange Online ? Serveur applicatif ? serveur fichier ? ....

+ souhait sur l'architecture de la novelle infra
- Proposé comme réponse Philippe BarthMVP vendredi 10 septembre 2021 17:57
- Marqué comme réponse R--S mardi 28 septembre 2021 14:50
vendredi 3 septembre 2021 10:42

Réponse

|

Citation
0

Connectez-vous pour voter
Bonjour,

Comme Philippe vous l'a indiqué, c'est une très mauvaise approche que de renommer un domaine Active Directory (certaines applications ne le supporteront pas par exemple).

Concernant la migration, voici les étapes clés :

Si un changement de l'adressage réseau est prévu, commencez par mettre en place ce dernier (en particulier le routage entre les plans existants et le nouveau plan d'adressage)
Installez votre futur domaine (que nous appellerons CIBLE)
Sur les deux domaines à migrer (que nous appellerons SOURCE1 et SOURCE2), positionnez une redirection conditionnel vers le domaine CIBLE (les domaines SOURCE1 et SOURCE2 doivent être capable de résoudre le domaine CIBLE) - vous pouvez aussi opter pour une redirection inconditionnelle vers le domaine CIBLE et ainsi laisser ce dernier gérer les requêtes récursives vers le web
Sur le domaine CIBLE, configurer une redirection conditionnelle vers le domaine SOURCE1 - Si des zones DNS autre que le domaine doivent également être résolues, alors ajouter également des redirections conditionnelles pour ces dernières OU recréer les nouvelles zones sur CIBLE (dépend du type de zone)
Sur le domaine CIBLE, configurer une redirection conditionnelle vers le domaine SOURCE2 - Si des zones DNS autre que le domaine doivent également être résolues, alors ajouter également des redirections conditionnelles pour ces dernières OU recréer les nouvelles zones sur CIBLE (dépend du type de zone)
Vérifiez depuis un poste client du domaine SOURCE1 et SOURCE2 que vous êtes capable de résoudre le domaine CIBLE
Installer ADMT sur le domaine SOURCE1 (Download Outil de migration Active Directory v3.2 from Official Microsoft Download Center) - Attention aux limitations avec Windows 10 en particulier (sinon, il existe des solutions payantes comme Quest Migration Manager)
Migrer les ressources de SOURCE1 vers CIBLE
Installer ADMT sur le domaine SOURCE2
Migrer les ressources de SOURCE2 vers CIBLE
Une fois les deux migrations terminer, supprimer les redirections DNS du domaine CIBLE vers les domaines SOURCE1 et SOURCE2 ainsi que toutes autre redirection vers ses serveurs - vos applications et services doivent continuer à fonctionner sans interruption
Si tout semble OK, isoler les DC de SOURCE1 et SOURCE2 (éteindre ou couper la patte réseau) - laisser de coté un petit mois pour valider qu'aucune mauvaise surprise n'était cachée
Si tout est OK, supprimer le role AD de SOURCE1 puis supprimer le serveur - idem pour SOURCE2
Une fois les domaines détruits, supprimer les traces d'ADMT de cible (en particulier les comptes de service)
Enfin, supprimer les traces de SidHistory de vos objets.

En espérant que ces explications vous aideront.
- Modifié LoicVeirman lundi 13 septembre 2021 17:40
- Marqué comme réponse R--S mardi 28 septembre 2021 14:50
lundi 13 septembre 2021 17:37

Réponse

|

Citation

Toutes les réponses

0

Connectez-vous pour voter
Le plus propre est de faire une migration ADMT vers un nouveau domaine.

http://pbarth.fr/node/106

DOMAINE-Z.LOCAL

Ce n'est plus très recommandé d'utiliser des domaines en .local

http://pbarth.fr/node/5

une fois fusionné : renommer XY en Z ?

Ce n'est pas recommandé de renommer un domaine, l'opération est lourde et peut impacter des services.

Il manque l'esentiel pour vous conseiller , entre autre les ressources, l'état actuel ; chacun son serveur mail ? Exchange Online ? Serveur applicatif ? serveur fichier ? ....

+ souhait sur l'architecture de la novelle infra
- Proposé comme réponse Philippe BarthMVP vendredi 10 septembre 2021 17:57
- Marqué comme réponse R--S mardi 28 septembre 2021 14:50
vendredi 3 septembre 2021 10:42

Réponse

|

Citation
0

Connectez-vous pour voter
hé ben déja, merci pour votre réponse très rapide !

pour les ressources :

Domaine X : Serveur TSE + AD + fichiers (partages classiques avec droits NTFS) (tout sur un serveur physique unique)

Domaine Y : Serveur TSE + AD + fichiers (partages classiques avec droits NTFS) (tout sur un serveur physique unique)

Exchange : office 365

la migration ADMT permet-elle de migrer 2 domaines X et Y vers 1 domaine Z ?
- Modifié R--S vendredi 3 septembre 2021 11:10
vendredi 3 septembre 2021 10:54

Réponse

|

Citation
0

Connectez-vous pour voter
la migration ADMT permet-elle de migrer 2 domaines X et Y vers 1 domaine Z ?

oui c'est le but de l'outil, migrer vers le nouveau domaine en conservant les accès sur les ressources de l'ancien domaine pour les comptes déjà migré et pas encore migré => progressif.

On migre les ressources à la fin .

Exchange : office 365

Je suppose que chaque entreprise à ses propres abonnements il faudra fusionner les tenants pour n'en faire qu'un.

Comment les gens vont travailler après , fusion des locaux ? applications communes ?

Si les deux continuent de travailler chacun dans leur coin, il est plus simple de faire un tunnel VPN et de mettre une approbation entre les domaines existants.
- Proposé comme réponse Philippe BarthMVP vendredi 10 septembre 2021 17:57
vendredi 3 septembre 2021 11:25

Réponse

|

Citation
0

Connectez-vous pour voter

il n"y aura plus qu'un seul serveur et tout le monde se connectera sur le nouveau DOMAINE-Z, il ne faudra plus que les 2 anciens domaines soient visibles (X et Y).

pas de lien office 365 avec les A.D., de plus, la partie fusion des tenants est un autre débat.

les entreprises restent là où elles sont, les tunnels VPN Ipsec sont déja en place, tout le monde "voit" tout le monde.

les applications vont toutes etre réinstallées sur le nouveau serveur une fois que l'A.D. sera en "DOMAINE-Z"

vendredi 3 septembre 2021 11:49

Réponse

|

Citation
0

Connectez-vous pour voter

bonjour, merci pour la réponse.

est-ce possible de détailler un peu les 3 étapes svp ?

vendredi 3 septembre 2021 14:58

Réponse

|

Citation
0

Connectez-vous pour voter
Bonjour,

Comme Philippe vous l'a indiqué, c'est une très mauvaise approche que de renommer un domaine Active Directory (certaines applications ne le supporteront pas par exemple).

Concernant la migration, voici les étapes clés :

Si un changement de l'adressage réseau est prévu, commencez par mettre en place ce dernier (en particulier le routage entre les plans existants et le nouveau plan d'adressage)
Installez votre futur domaine (que nous appellerons CIBLE)
Sur les deux domaines à migrer (que nous appellerons SOURCE1 et SOURCE2), positionnez une redirection conditionnel vers le domaine CIBLE (les domaines SOURCE1 et SOURCE2 doivent être capable de résoudre le domaine CIBLE) - vous pouvez aussi opter pour une redirection inconditionnelle vers le domaine CIBLE et ainsi laisser ce dernier gérer les requêtes récursives vers le web
Sur le domaine CIBLE, configurer une redirection conditionnelle vers le domaine SOURCE1 - Si des zones DNS autre que le domaine doivent également être résolues, alors ajouter également des redirections conditionnelles pour ces dernières OU recréer les nouvelles zones sur CIBLE (dépend du type de zone)
Sur le domaine CIBLE, configurer une redirection conditionnelle vers le domaine SOURCE2 - Si des zones DNS autre que le domaine doivent également être résolues, alors ajouter également des redirections conditionnelles pour ces dernières OU recréer les nouvelles zones sur CIBLE (dépend du type de zone)
Vérifiez depuis un poste client du domaine SOURCE1 et SOURCE2 que vous êtes capable de résoudre le domaine CIBLE
Installer ADMT sur le domaine SOURCE1 (Download Outil de migration Active Directory v3.2 from Official Microsoft Download Center) - Attention aux limitations avec Windows 10 en particulier (sinon, il existe des solutions payantes comme Quest Migration Manager)
Migrer les ressources de SOURCE1 vers CIBLE
Installer ADMT sur le domaine SOURCE2
Migrer les ressources de SOURCE2 vers CIBLE
Une fois les deux migrations terminer, supprimer les redirections DNS du domaine CIBLE vers les domaines SOURCE1 et SOURCE2 ainsi que toutes autre redirection vers ses serveurs - vos applications et services doivent continuer à fonctionner sans interruption
Si tout semble OK, isoler les DC de SOURCE1 et SOURCE2 (éteindre ou couper la patte réseau) - laisser de coté un petit mois pour valider qu'aucune mauvaise surprise n'était cachée
Si tout est OK, supprimer le role AD de SOURCE1 puis supprimer le serveur - idem pour SOURCE2
Une fois les domaines détruits, supprimer les traces d'ADMT de cible (en particulier les comptes de service)
Enfin, supprimer les traces de SidHistory de vos objets.

En espérant que ces explications vous aideront.
- Modifié LoicVeirman lundi 13 septembre 2021 17:40
- Marqué comme réponse R--S mardi 28 septembre 2021 14:50
lundi 13 septembre 2021 17:37

Réponse

|

Citation
0

Connectez-vous pour voter
bonjour et merci pour les détails.

je suis en train d'installer ceci dans un environnement de test/labo

j'installe ADMT et il me demande une instance SQL ???

je n'ai aucun SQL nulle part ... dois-je en installer un ? sur quel(s) serveur(s) ? cible ?
- Marqué comme réponse R--S lundi 27 septembre 2021 09:00
- Non marqué comme réponse R--S lundi 27 septembre 2021 09:00
- Modifié R--S lundi 27 septembre 2021 09:01
lundi 27 septembre 2021 08:56

Réponse

|

Citation
0

Connectez-vous pour voter

Bonjour,

Vous pouvez utiliser une instance SQL Express installée sur le même serveur qu'ADMT.
Cdt, Loic

lundi 27 septembre 2021 09:05

Réponse

|

Citation
0

Connectez-vous pour voter

merci.

j'ai installé SQL Express 2008 , mais impossible d'y accéder via ADMT...

message d'erreur :

l'instance spécifiée est hebergée sur une version SQL Server qui n'est pas pris en charge.

si vous utilisez SQL 2008 Express, vous devez installer le SP1 ou ultérieur.

savez-vous où je peux trouver le SP1 ou ultérieur de SQL 2008 Express ?

j'ai tenté le SP1 de SQL 2008 : ne fonctionne pas.

lundi 27 septembre 2021 09:53

Réponse

|

Citation
0

Connectez-vous pour voter

Installer SQL Express 2012 ou 2014 (je ne sais plus quelle version existe). La 2008 est outdated.
Cdt, Loic

lundi 27 septembre 2021 10:10

Réponse

|

Citation
0

Connectez-vous pour voter

pas de chance ... je viens d'installer SQL Express 2014 ... le service ne démarre pas ...
si j'installe sql express 2016 sur le DC 2012 R2 ça va le faire ?

lundi 27 septembre 2021 11:58

Réponse

|

Citation
0

Connectez-vous pour voter

Bonjour,

Non, cela ne sert à rien. Il faut résoudre le problème avec SQL Express 2014.
Cdt, Loic

lundi 27 septembre 2021 12:39

Réponse

|

Citation
0

Connectez-vous pour voter
seconde tentative d'install SQL Express 2014 : l"erreur suivante s'est produite :

echec de l'attente du handle de recupération du moteur de base de données.

Une erreur s'est produite lors du processus d'installation du composant.

Détails de l'erreur :
§ Erreur lors de l'installation de Fonctionnalités de l'instance des services Moteur de base de données SQL Server
Échec de l'attente du handle de récupération du moteur de base de données. Consultez le journal des erreurs SQL Server pour connaître les causes possibles.
Code d’erreur : 0x851A001A

pour info, c'est un DC, (VM sous Hyper-V en 2012 R2) il n'y a jamais eu de SQL ni quoi que ce soit d'autre, je viens de l'installer ce matin
- Modifié R--S lundi 27 septembre 2021 12:57
lundi 27 septembre 2021 12:54

Réponse

|

Citation
0

Connectez-vous pour voter

oh mon... Bon, alors premiere regle : pas de SQL sur un DC, pas d'ADMT sur un DC.

Vous devez monter une machine à part.
Cdt, Loic

lundi 27 septembre 2021 13:00

Réponse

|

Citation
0

Connectez-vous pour voter
ouais d'accord, mais j'ai deja :

1 DC Source1

1 DC Source 2

1 DC Cible

et je dois encore rajouter un serveur juste pour SQL ? je dois l'intégrer dans un domaine AD ce nouveau serveur SQL ? cible ?

au départ je trouvais deja cela compliqué, mais plus j'avance et plus je me retrouve avec une usine à gaz ...

sachant que je suis dans un environnement de test ! j'imagine en réel ...
- Modifié R--S lundi 27 septembre 2021 13:05
lundi 27 septembre 2021 13:04

Réponse

|

Citation
0

Connectez-vous pour voter

c'est pire que ca : va falloir 2 instances ADMT, donc 2 VM additionnelles.
Cdt, Loic

lundi 27 septembre 2021 13:11

Réponse

|

Citation
0

Connectez-vous pour voter
ok, mais je les mets dans quel(s) domaine(s) AD ces 2 VMs ?

faudra également un 2eme serveur SQL ?

sinon il n'existe pas un tuto tout fait et détaillé (surtout avec les VM ou serveurs qu'il faut et comment) j'avoue que je plane un peu sur ce coup ...
- Modifié R--S lundi 27 septembre 2021 13:47
lundi 27 septembre 2021 13:14

Réponse

|

Citation
0

Connectez-vous pour voter
il me faudrait les détails des différents serveurs.

j'ai un peu avancé et j'ai réussi à faire des choses, mais j'ai plein de message d'erreur de droit, avec admt, avec password export server, etc ...

je pense que je ne les installe pas au bon endroit ou pas sur les bonnes versions de windows.

pour info, j'ai recrée l'environnement de mon client en LABO :

VM1 : DC 2008 R2 = dc source1.LOCAL

VM2 : DC 2008 R2 = dc source2.LOCAL

VM3 : DC 2012 R2 : dc cible.LOCAL

VM4 : SRV 2012R2.CIBLE.LOCAL avec SQLExpress 2014 (est-ce OK sur cette VM ?)

dois je crée une 5è VM ?

où dois je install ADMT ?

où dois je install Password Export server ?

ou bien dois je d'abord migrer mes 2 AD 2008R2 vers des AD 2012R2 ?
- Modifié R--S lundi 27 septembre 2021 15:42
lundi 27 septembre 2021 15:41

Réponse

|

Citation
0

Connectez-vous pour voter

où dois je install Password Export server ?

Afin de pouvoir migrer les mots de passe lors de la migration ADMT, il nous faut installer un outil sur le contrôleur de domaine de l’ancien domaine permettant d’exporter de manière sécurisé les mots de passe et de les transmettre à l’outil ADMT. Pour protéger ces communications il est nécessaire de créer une clé sur le serveur ADMT destinataire de l’information et de réutiliser cette clé sur le serveur source où nous installerons PES.

http://pbarth.fr/node/112

ou bien dois je d'abord migrer mes 2 AD 2008R2 vers des AD 2012R2 ?

non.

En prenant le temps de lire les liens qui vous sont proposés, la majorité des réponses à vos questions sont indiquées. Bon l'article est un peu vieux mais la méthode n'a pas évolué.

lundi 27 septembre 2021 16:25

Réponse

|

Citation
0

Connectez-vous pour voter

merci pour toutes les réponseS.

j'avance ... mais difficilement... presque à chaque étape j'ai des messages d'erreur ...

j'ai installé et paramétré SQL / ADMT / Password Export Server

je tente une migration des groupes, message d'erreur :

Impossible de vérifier l'audit et TCPipClientSupport sur les domaines.

La migration de l'identificateur SID sera impossible, accès refusé.

mardi 28 septembre 2021 09:50

Réponse

|

Citation
0

Connectez-vous pour voter

bon, j'avais pas ouvert la bonne session Admin-ADMT pour faire la migration. mais maintenant autre probleme, avec la session Admin-ADMT, je n'arrive pas à ouvrir l'outil de migration ....

impossible de vérifier les actions en echec.

DBMAnager.IManageDB.1:impossible d'ouvrir la base de données "ADMT" demandée par la connexion.

mardi 28 septembre 2021 10:12

Réponse

|

Citation
0

Connectez-vous pour voter
apres bien des galeres, j'ai réussi à migrer groupe, user, mais pas ordinateur, dumoins pas entierement à priori.

ERR3:7075 L'affiliation au domaine n'a pas pu etre modifie, hr=80070005 accès refusé.

j'ai néanmoins tenté sur un PC.SOURCE1.LOCAL d'ouvrir une session CIBLE\utilisateur et cela semble fonctionner.

mais le PC s'appelle toujours : PC.SOURCE1.LOCAL (propriétés systeme)

cela aurait du changer en PC.CIBLE.LOCAL : non ?
- Modifié R--S mardi 28 septembre 2021 12:10
mardi 28 septembre 2021 12:09

Réponse

|

Citation
1

Connectez-vous pour voter
solution EER3:7075
     Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\
   Key to Set:
      Network access: Named Pipes that can be accessed

   Values to Set:
      COMNAP
      COMNODE
      SQL\QUERY
      SPOOLSS
      NETLOGON
      LSARPC
      samr
      BROWSER
      LLSRPC

merci à https://social.technet.microsoft.com/Forums/fr-FR/99eeefbc-6c3a-40c7-a19c-ce8c190eff0b/domain-migration-err37075-failed-to-change-domain-affiliation-hr8007054a-this-operation-is-only?forum=winserverMigration

et merci a tous et en particulier à Philippe et Loic pour avoir pris le temps de répondre et pour leurs bons conseils
- Marqué comme réponse R--S mardi 28 septembre 2021 14:49
mardi 28 septembre 2021 14:49

Réponse

|

Citation

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Fusion de domaines AD

Question

Réponses

Toutes les réponses